War of SQL Impact (SQL Audit Tool)

War-of-sql-impactPentest sırasında gerçekleştirilen SQL Audit testleri için yardımcı bir yazılım War of SQL Impact  / WarSQLi. Bu yazılım SQL sunucularında bulunan zayıf şifre olasılıklarını gerçekleştirmek üzere geliştirilmiştir. Araç ile zayıf paroları testleri yapılabilir ve SQL ( MS-SQL, MySQL, PostgreSQL ) sunucular üzerinde zafiyetler belirlenebilir. Programı standart olarak kurduktan sonra karşımıza ana ekran geliyor. Program içinde IP aralığı alanına testi gerçekleştireceğimiz ip adresini yazıyoruz. Aralık boşluğuna ise kaç ip üzerinde test yapacağımız sayıyı belirliyoruz.

SQL Server Türü alanında tarama yapmak istediğimiz SQL server türünü seçiyoruz. Defaul olarak “Otomatik” ayarında geliyor. Bu, aracımızın SQL türünü kendisinin tespit edebileceğini gösteriyor. Tarama türü alanında varsayılan değerlerle sunucuların taranması için geliştirilmiş haldedir. Tarama Seçenekleri bölümünde bağlantıları gerçekleştirmek için kullanacağımız milisaniye türünden değerler bulunmaktadır. Bu değeri network yoğunluğuna göre belirleyebiliriz.

Audit Metodu

  1. Zayıf Şifre Testi – Hızlı: Bu seçenek tespit edilen SQL sunucuları için 72 adet en çok kullanılan şifreyi test edecektir.
  2. Zayıf Şifre Testi – Genişletilmiş: Bu seçenek tespit edilen SQL sunucuları için 1056 adet en çok kullanılan şifreyi test edecektir.
  3. Sabit Kullanıcı / Şifre Listesi: Bu seçenek belirleyeceğiniz sabit bir kullanıcı için (“sa”, “root”, “postgres” vb.), belirteceğiniz şifre dosyasındaki şifreleri test edecektir.
  4. Sabit Şifre / Kullanıcı Listesi: Bu seçenek belirleyeceğiniz bir şifreyi (123456, 1234 vb), yükleyeceğiniz kullanıcı listesi için test edecektir.
  5. Kullanıcı Listesi / Şifre Listesi: Bu seçenek belirteceğiniz kullanıcı ve şifre dosyalarını SQL sunucularında test edecektir.

WARSQLi

Test etmek istediğimiz metodu seçtikten sonra “Başlat”ı tıklayarak Audit testini başlatabilirsiniz.

Not: Exploit menüsünde bulunan “Veritabanlarını İncele” ve “SQL Kullanıcısı Ekle” seçenekleri şifreler bulunduktan sonra aktif olacaktır.

Not-2 : Taramayı başlattığınızda eğer MS-SQL sunucusu tespit etmişseniz, MS-SQL için Instance adlarını bulunup sonra test başlatılacaktır. Bu işlem network yoğunluğuna bağlı olarak yaklaşık 30-45 saniye sürebilir.

İndir :  http://www.eyupcelik.com.tr/CehLabs/WarSQLi/WarSQLiCurrent.rar
(Programı indirmek için Sağ Tık ile Farklı Kaydet’i seçiniz.)

Aracın kullanımı ile ilgili video buradan izleyebilirsiniz.

Share this Story
  • Güvenlik

    War of SQL Impact (SQL Audit Tool)

    Pentest sırasında gerçekleştirilen SQL Audit testleri için yardımcı bir yazılım War of SQL Impact  / WarSQLi. Bu yazılım SQL sunucularında bulunan zayıf ...
  • Güvenlik

    Exchange Password Attacker – hOWAttacker

    Bu yazılım Exchange sunucularında bulunanan OWA ( Outlook Web Access ) arayüzüne dictionary atak yapabilen bir güvenlik aracıdır. Eyüp Çelik tarafından ...
Load More Related Articles

Facebook Comments

Bir eleştiri yaz

Your email address will not be published. Required fields are marked *

Hakkımda


2010 yılından bu yana blog yazıyorum.


Dijital İş Geliştirme, Dijital Pazarlama, Medya ve Algı Yönetimi, İnternet Reklamcılığı, Web Geliştirme üzerine profesyonel olarak çalışmalar yürütüyorum.


Teknovol 'de kurucu ve yönetici olarak profesyonel iş hayatına devam ediyorum. İnterneti severek ve internetin daha güzel bir alan olmasına yönelik olarak seçici davranarak, yalnız maddi kaygı değil değer ve anlam katmayı da düşünerek güzel işler yapıyoruz.